Tijdens een onderzoek naar een botnet werden Nederlandse websites aangetroffen die misbruikt werden om het betreffende botnet uit te breiden. De sites bevatten malware die eenmaal geactiveerd de computer van het slachtoffer aanmelden bij het botnet.
Op dit moment zijn ‘cloud computing'-services een hot item. Cybercriminelen gebruikten deze dienst al veel langer. Zij hebben het model ‘crimeware as a service' (CaaS) ontwikkeld. Complete kits en botnets worden verhuurd op de ondergrondse marktplaatsen. Voor een gering bedrag huurt men een botnet en men krijgt er support en garantie bij. Werkt een server niet, geen probleem, ze vervangen de niet werkende server voor een andere (gehackte) server.
Gedurende het onderzoek naar aangetroffen malware werden verwijzingen aangetroffen die leidden naar een botnet gebaseerd op Zeus. Zeus is een crimeware-kit die voor tussen de 500 en 600 dollar wordt aangeboden. Met deze kit is het mogelijk om malware te creëren waarin de ip-adressen staan vermeld die een geïnfecteerde computer moet benaderen en zodoende lid wordt van dat botnet. In de kit zitten allerlei exploits die op verschillende manieren kunnen worden gebruikt. De makers van Zeus zorgen voor regelmatige updates, immers als botherder met honderd computers stel je niets voor. Eenmaal een aantal exploits naar malware omgebouwd en deze worden verspreid op gehackte webservers. Vervolgens kunnen er allerlei technieken worden gebruikt om ervoor te zorgen dat mensen de betreffende malware activeren. Een veelgebruikte techniek is het plaatsen van een zogenaamd ‘i-frame' op een pagina die niet zichtbaar is. De bezoeker van de webpagina ziet dit niet, maar ondertussen wordt wel de exploit geladen die misbruik maakt van de webbrowser van de gebruiker.
De aangetroffen malware op de Nederlandse websites en webservers werd geanalyseerd. Bestandsnamen zoals Mario en Tetris werden aangetroffen om slachtoffers te doen denken dat het om spelletjes gaat. Uit analyse is gebleken dat het een trojan betrof die zich als eerste aanmeldt bij het botnet. Vervolgens werd alles met betrekking tot online-banking op de besmette computer gelogd en verstuurd naar de eigenaar van het botnet. Tevens is de trojan in staat om andere malware te downloaden in het geval van detectie door antivirussoftware. Bij het onderzoeken werd middels de website Virustotal gekeken in hoeverre deze trojan gedetecteerd werd door antivirussoftware. Hieruit blijkt dat maar twee van de 41 av-scanners de trojan detecteerden.
Welke twee virusscanners waren dat?
En zijn dat dan ook de beste scanners?